[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

dsa-1370 訳



 やまねです。
 dsa-1370 訳です。査読願います。

------------------------------------------------------------------------
#use wml::debian::translation-check translation="1.1"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>
web ブラウザ上で MySQL を管理するプログラム phpMyAdmin 
にリモートから攻撃可能な複数の脆弱性が発見されました。
Common Vulnerabilities and Exposures プロジェクトでは以下の問題を認識しています:</p>
<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1325";>CVE-2007-1325</a>

    <p>libraries/common.lib.php 中の PMA_ArrayWalkRecursive 
関数がユーザから与えられた配列に対して再帰を制限していないため、
コンテンツに依存しますが、攻撃者が多次元配列によってサービス不能 
(DoS) 攻撃 (web サーバのクラッシュ) が可能になっています。</p>

    <p>この問題は安定版ディストリビューション (stable、コードネーム etch) 
    にのみ影響を与えます。</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1395";>CVE-2007-1395</a>

    <p>index.php 中でのブラックリストが不完全であるという脆弱性によって、大文字の 
&lt;/SCRIPT&gt; 終了タグに続けて任意の JavaScript あるいは HTML を 
(1) db パラメータまたは (2) table パラメータ値に挿入することで、小文字の &lt;/script&gt; 
に対しての防御を迂回して、攻撃者がリモートからクロスサイトスクリプティング (XSS) 
攻撃を引き起こせます。</p>

    <p>この問題は安定版ディストリビューション (stable、コードネーム etch) 
    にのみ影響を与えます。</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2245";>CVE-2007-2245</a>

    <p>複数のクロスサイトスクリプティング (XSS) 脆弱性が存在しており、
(1) browse_foreigners.php の fieldkey パラメータを使う、あるいは 
(2) PMA_sanitize 関数に特定の値を与えることで、攻撃者がリモートから任意の 
web スクリプトや HTML を挿入可能になります。</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6942";>CVE-2006-6942</a>

    <p>複数のクロスサイトスクリプティング (XSS) 脆弱性によって、
(a) db_operations.php を介した攻撃での (1) テーブル名へのコメント、
(b) db_create.php での (2) db パラメータ、
(3) db_operations.php での newname パラメータ、
(c) querywindow.php での (4) query_history_latest パラメータ、
(5) query_history_latest_db パラメータ、および (6) querydisplay_tab パラメータ、
(d) sql.php での (7) pos パラメータをそれぞれ利用することで、攻撃者がリモートから任意の 
HTML や web スクリプトを挿入可能になっています。</p>

    <p>この問題は旧安定版ディストリビューション (oldstable、コードネーム sarge) 
    にのみ影響を与えます。</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6944";>CVE-2006-6944</a>

    <p>phpMyAdmin は、リモートから攻撃者が偽装した IP ヘッダアドレスを利用して、
Allow/Deny アクセスルールを迂回するのが可能となっています。</p>

    <p>この問題は旧安定版ディストリビューション (oldstable、コードネーム sarge) 
    にのみ影響を与えます。</p></li>

</ul>

<p>安定版ディストリビューション (stable、コードネーム etch) では、
これらの問題はバージョン 2.9.0.3-4 で修正されています。</p>

<p>旧安定版ディストリビューション (oldstable、コードネーム sarge) では、
これらの問題はバージョン 2.6.2-3sarge4 で修正されています。</p>

<p>不安定版ディストリビューション (unstable、コードネーム sid) では、
これらの問題はバージョン 2.10.1-1 で修正されています。</p>

<p>phpmyadmin パッケージのアップグレードをお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1370.data"